Уязвимость сайтов на WordPress

Приложение «управления корзиной» содержит ошибку типа PHP object-injection, что позволяет злоумышленникам внедрять вредоносный код.

Уязвимость безопасности в плагине электронной коммерции Welcart открывает веб-сайты для внедрения кода. Это может привести к установке платежных скиммеров, сбою сайта или поиску информации с помощью SQL-инъекции, говорят исследователи.

Welcart e-Commerce – это бесплатный плагин для WordPress, который используют более 20 000 сайтов (по данным WordPress). Он позволяет владельцам сайтов внедрить онлайн платежи за товары «под ключ». При этом продавать можно не только физические товары, но и цифровые сервисы, а также подписки. Клиенты же в свою очередь получают 16 различных вариантов оплаты.

Критическая ошибка (идентификатор CVE ещё не присвоен) – это уязвимость PHP-инъекции кода, которая существует в том формате как платформа обрабатывает cookie-файлы.

PHP object injection – это уязвимость приложения, которая прокладывает путь для внедрения кода или SQL-инъекциям.

Инъекции в PHP часто часто используются в более крупной цепочке эксплойтов, которая позволяет злоумышленнику удаленно воспроизводить код и полностью захватить контроль над сайтом. Однако, в данном случае это не так.

Издатель плагина (Collne Inc.) исправил эту проблему в версии 1.9.36 Welcart, релиз которой состоялся в октябре. Администраторам сайтов на базе WP рекомендуется обновиться как можно скорее.

Share on vk
VK
Share on facebook
Facebook
Share on email
Email
Share on whatsapp
WhatsApp
Share on telegram
Telegram
Цифровизация в области культуры. Итоги 2020 года.

Цифровизация в области культуры. Итоги 2020 года.

По данным Минкультуры, за минувший год флагманский портал «Культура» посетили более в 69 миллионов посещений, доля детской аудитории составила 25…
Медицинская система БиоМИС и КЭП

Медицинская система БиоМИС и КЭП

Традиционная бумажная медицинская карта медленно, но верно уходит в прошлое. На смену ей приходит электронная карта. Все записи в такой…
О льготном лекарственном обеспечении

О льготном лекарственном обеспечении

К 1 апреля планируется внести в соответствующий федеральный регистр все необходимые сведения о пациентах, которым государством предусмотрено льготное лекарственное обеспечение.…

Заказать звонок

Нажимая на кнопку я даю согласие на обработку моих персональных данных